Die Frist vom 31. Dezember 2026 taucht in Diskussionen über eIDAS 2.0 tendenziell als zukünftige Verpflichtung auf – etwas, das auf einer Roadmap steht, vermerkt und aufgeschoben wird. Es lohnt sich, präzise zu sein, was es tatsächlich ist. Die Verordnung (EU) 2024/1183 ist am 20. Mai 2024 in Kraft getreten. Jeder EU-Mitgliedstaat ist gesetzlich verpflichtet, bis Ende dieses Jahres mindestens eine zertifizierte Europäische Digitale Identitäts-Wallet für Bürger und Unternehmen bereitzustellen. Dies ist kein politisches Bestreben. Es ist eine bindende Verpflichtung mit bereits veröffentlichten Durchführungsrechtsakten und abgeschlossenen Interoperabilitätstests zwischen mehreren Mitgliedstaaten.
Für Organisationen in regulierten Sektoren – Bankwesen, Versicherungen, Gesundheitswesen, Telekommunikation, Energie.
Wir entwickeln seit über zwanzig Jahren Middleware für digitale Identitäten. Die Middleware für den portugiesischen Bürgerrat, die Caixa Mágica seit den frühen 2000er Jahren entwickelt und pflegt, läuft auf jedem Computer in Portugal, der die Authentifizierung für den Bürgerrat durchführt – eine Implementierung, die schließlich die gesamte erwachsene Bevölkerung umfasste. Diese Erfahrung prägt, wie wir die eIDAS 2.0 lesen: nicht als ein Projekt zur Einhaltung von Vorschriften, sondern als einen Infrastrukturübergang mit spezifischen technischen und institutionellen Anforderungen, die darüber entscheiden, ob er für die Menschen, die davon abhängig sind, in der Praxis funktioniert.
Was eIDAS 2.0 ändert und was nicht
Die ursprüngliche eIDAS-Verordnung von 2014 schuf einen Rechtsrahmen für elektronische Identifizierung und Vertrauensdienste in der gesamten EU. Sie harmonisierte qualifizierte elektronische Signaturen und die grenzüberschreitende Anerkennung nationaler eIDs, hatte aber strukturelle Einschränkungen: Die Abdeckung war in den Mitgliedstaaten uneinheitlich, die Akzeptanz durch den privaten Sektor war freiwillig und das System war nicht für die mobile Nutzung konzipiert. Für Organisationen, die die grenzüberschreitende digitale Identität in der Praxis umsetzen wollten, bedeutete die eIDAS 1.0-Landschaft die Navigation durch ein Flickenteppich nationaler Systeme mit unterschiedlichen technischen Architekturen und unterschiedlichen Vertrauensniveaus.
eIDAS 2.0 ändert dies in drei betrieblich relevanten Punkten. Erstens schreibt es die universelle Verfügbarkeit vor – jeder Bürger und Einwohner der EU wird Zugang zu einer Wallet haben, nicht nur diejenigen in Mitgliedstaaten, die sich für die Einführung eines starken nationalen eID-Systems entschieden haben. Zweitens schreibt es die Akzeptanz durch den Privatsektor vor – die Freiwilligkeit der Beteiligung des Privatsektors an eIDAS 1.0 wird durch eine Verpflichtung für regulierte Sektoren und sehr große Online-Plattformen ersetzt. Drittens führt es auf Architekturebene eine selektive Offenlegung ein – Bürger können spezifische Attribute (Alter, Berufsqualifikation, Adresse) nachweisen, ohne davon unabhängige persönliche Daten preiszugeben, was die Anforderungsdefinitionen für Workflows zur Identitätsprüfung erheblich verändert.
Was eIDAS 2.0 nicht ändert
eIDAS 2.0 erweitert eIDAS 1.0 nicht nur. Es ersetzt die Annahme, dass digitale Identität für den Privatsektor optional ist, durch eine gesetzliche Verpflichtung zur Akzeptanz.
Was sich nicht ändert, ist die grundlegende technische Herausforderung der digitalen Identität: ein System für die Menschen zuverlässig zu machen, die es brauchen, unter den Bedingungen, unter denen sie es tatsächlich nutzen, und dies über die institutionellen und rechtlichen Rahmenbedingungen mehrerer Gerichtsbarkeiten hinweg. Das Middleware-Projekt Kap Verde – bei dem wir ein Offline-First-System für digitale Identitäten für einen Archipel mit zehn Inseln entwickelten – erinnert uns daran, dass die schwierigsten Probleme bei der digitalen Identität nicht in der Spezifikation liegen. Sie liegen in der Lücke zwischen Spezifikation und groß angelegter Bereitstellung.
Wer muss was tun und bis wann
Die Verpflichtungen gemäß eIDAS 2.0 treffen verschiedene Akteure zu unterschiedlichen Zeitpunkten. Es lohnt sich, diese genau zu kartieren, denn die gängige Formulierung – "die Frist ist 2026" – verschleiert, dass verschiedene Organisationen unterschiedlichen Verpflichtungen zu unterschiedlichen Zeitplänen gegenüberstehen.
Die technische Ebene, die bei den meisten eIDAS 2.0-Implementierungsdiskussionen übersprungen wird
Die öffentliche Diskussion über eIDAS 2.0 konzentriert sich meist auf den politischen Rahmen: welche Sektoren verpflichtet sind, welche Fristen gelten, wie die grenzüberschreitende Anerkennung funktionieren wird. Die technische Ebene erhält weniger Aufmerksamkeit, und genau dort stoßen die meisten Implementierungsprojekte auf Probleme, die sie verzögern.
Das EUDI Wallet-Ökosystem basiert auf drei technischen Spezifikationen, die jede vertrauende Stelle unterstützen muss: ISO/IEC 18013-5 (dem Standard für die Präsentation mobiler Dokumente, ursprünglich für mobile Führerscheine entwickelt), W3C Verifiable Credentials (dem Datenmodell für die selektive Offenlegung von Identitätsmerkmalen) und dem EUDI Architecture Reference Framework, das festlegt, wie diese mit nationalen Wallet-Implementierungen, Vertrauensregistern und der Interoperabilität zwischen den Mitgliedstaaten interagieren.
Für Organisationen, deren Authentifizierungssysteme für eIDAS 1.0 entwickelt wurden – das andere Datenformate, andere Vertrauensniveaus und andere Interaktionsmodelle verwendete – handelt es sich hierbei nicht um ein Update. Es ist ein Redesign des Identitätsüberprüfungsprozesses. Die Middleware-Schicht, die zwischen der Wallet und der Anwendung sitzt, muss die Präsentation von Berechtigungsnachweisen von verschiedenen Wallets der Mitgliedstaaten verarbeiten, gegen das relevante Vertrauensverzeichnis validieren, die selektive Offenlegung durchsetzen, sodass nur auf die erforderlichen Attribute zugegriffen wird, und einen Prüfdatensatz der Überprüfung erstellen.
Was die Erfahrung mit dem portugiesischen Bürgernamen-Ausweis über eIDAS 2.0 aussagt
Die Middleware für den portugiesischen Personalausweis ist seit über zwanzig Jahren im Einsatz. Sie hat mehrere Kartengenerationen, Änderungen des Betriebssystems, Browser-Updates und regulatorische Entwicklungen durchlaufen. Die konstanteste Lektion aus dieser Erfahrung ist nicht technischer Natur – sie ist institutionell. Eine digitale Identitätsinfrastruktur, die auf nationaler Ebene zuverlässig funktioniert, erfordert eine dauerhafte Abstimmung zwischen den für den rechtlichen Rahmen, das Dokument selbst und die Software zuständigen Stellen. Wenn sich eine dieser drei Komponenten ohne Koordination ändert, bricht die Middleware auf eine Weise, die jeden Bürger betrifft, der versucht, seine Karte zu nutzen.
eIDAS 2.0 fügt eine vierte Dimension hinzu, die die Bürgerkarte nie verwalten musste: Interoperabilität über 27 unabhängige nationale Implementierungen hinweg, die alle nach derselben ARF-Spezifikation erstellt wurden, aber mit Implementierungsentscheidungen, die sich in der Praxis unterscheiden werden. Die ARF ist detailliert und technisch anspruchsvoll. Was sie nicht vollständig spezifizieren kann, ist das reale Verhalten von 27 Wallet-Implementierungen im Moment ihrer gleichzeitigen Produktion, wenn Millionen von Nutzern zum ersten Mal grenzüberschreitende Verifizierungen durchführen.
Die Spezifikation ist nicht die Implementierung. Die Lücke dazwischen ist der Ort, an dem die eigentliche Ingenieursarbeit der digitalen Identität stattfindet – und wo Erfahrungen aus nationalen Einsätzen am wichtigsten sind.
Dies ist kein Argument gegen eIDAS 2.0. Es ist ein Plädoyer dafür, die Umsetzung mit der gebotenen Ernsthaftigkeit anzugehen, anstatt sie als ein Software-Update zu betrachten, das näher am Stichtag behandelt wird. Organisationen, die jetzt mit der Integrationsarbeit begonnen haben – die Entwicklung basierend auf dem ARF, Tests mit verfügbaren Wallet-Implementierungen und der Aufbau der institutionellen Beziehungen, die für die Registrierung von Vertrauensstellen erforderlich sind – befinden sich in einer materiell besseren Position als diejenigen, die das späte Jahr 2027 als tatsächlichen Stichtag betrachten.
Die unterbewertete Frage der Datensouveränität in der Politikdiskussion
Eine der folgenreichsten architektonischen Entscheidungen in eIDAS 2.0 ist eine, die oft im Zusammenhang mit Datenschutz beschrieben wird: selektive Offenlegung. Ein Bürger kann nachweisen, dass er über 18 ist, ohne sein Geburtsdatum preiszugeben. Er kann eine berufliche Qualifikation nachweisen, ohne seine volle Identität preiszugeben. Dies wird als Datenschutzfunktion beschrieben, was sie auch ist. Aber sie hat eine strukturelle Auswirkung darauf, wie Identitätsprüfungssysteme konzipiert sein müssen, die über den Datenschutz hinausgeht.
Systeme, die für die eIDAS 1.0 und die Identitätsprüfung vor eIDAS entwickelt wurden, forderten und speicherten typischerweise eine definierte Menge von Identitätsattributen – Name, Geburtsdatum, Identifikationsnummer – und behielten diese als Teil des Benutzerdatensatzes bei. Selektive Offenlegung gemäß eIDAS 2.0 bedeutet, dass das bei der Überprüfung vorgelegte Attribut möglicherweise nicht mit dem gespeicherten Attribut übereinstimmt und in vielen Fällen die Anwendung gar keine personenbezogenen Daten speichern sollte – nur eine Bestätigung, dass die Überprüfung stattgefunden hat. Dies erfordert ein Redesign von Datenmodellen, Speicherarchitekturen und Audit-Trails, was keine geringfügige Aktualisierung bestehender Systeme darstellt.
eIDAS 2.0-Implementierung: Was Organisationen jetzt tun sollten
Die praktische Vorbereitung auf die Akzeptanz von eIDAS 2.0 ist kein einzelnes Projekt. Es ist eine Abfolge von sich gegenseitig bedingenden Entscheidungen, und je früher eine Organisation in dieser Abfolge steht, desto mehr Zeit hat sie, Kurskorrekturen vorzunehmen, bevor die Akzeptanzpflicht eintritt.
Was eIDAS 2.0 nicht von allein löst
Es lohnt sich, ehrlich zu sein, was die Verordnung leisten kann und was nicht. eIDAS 2.0 schafft einen Rechtsrahmen, der nach seiner vollständigen operativen Umsetzung jedem EU-Bürger Zugang zu einer portablen, interoperablen digitalen Identität verschaffen wird. Das ist eine bedeutende Errungenschaft im Kontext der fragmentierten europäischen Landschaft vor 2024. Was sie jedoch nicht garantiert, ist, dass die 27 Wallet-Implementierungen bis zum 31. Dezember 2026 allesamt funktionsfähig sein werden, dass die Registrierung von Vertrauensdiensten in jedem Mitgliedstaat unkompliziert sein wird oder dass die Benutzererfahrung der Wallet-basierten Authentifizierung reibungslos genug für eine breite freiwillige Akzeptanz sein wird.
Eine unabhängige Bewertung, die im April 2026 veröffentlicht wurde, ergab, dass drei Länder fast sicher die Dezemberfrist mit voller Funktionalität erreichen werden, fünf sind sehr wahrscheinlich, acht sind wahrscheinlich und die verbleibenden elf sind unterschiedlichen Risiken ausgesetzt. Der Start wird real, aber ungleichmäßig sein. Für Organisationen, die ihre eIDAS 2.0-Integration planen, bedeutet dies, dass die Testumgebung nicht einheitlich sein wird und die Annahme, dass die Verfügbarkeit von Wallets in einem Mitgliedstaat die gleiche Funktionalität in einem anderen impliziert, verifiziert und nicht angenommen werden muss.
Nichts davon ist ein Argument für ein Warten. Es ist ein Argument dafür, die Integration mit ausreichend Vorlaufzeit zu entwickeln, um die Variabilität aufzufangen, die eine parallele Einführung in 27 Mitgliedstaaten unweigerlich mit sich bringen wird. Die Organisationen, die die späte Annahmefrist Ende 2027 als Beginn ihrer Vorbereitung betrachten, werden feststellen, dass ihre Wettbewerber, die 2025 und 2026 begonnen haben, bereits die schwierige Phase hinter sich haben.


